入门概念 | AWS IAM是什么?


IAM全称是 Identity and Access Management,它是AWS提供的身份管理服务。 主要用来解决AWS账户中的身份认证 (Authentication) 和授权 (Authorization),这两个问题。 AWS提供很多的服务,通过使用这些服务又可以创建很多的资源,比如EC2、RDS、VPC等。使用这些资源都是需要付费的,当然不能谁都可以用。因此只有通过认证和授权才可以使用。 IAM服务就是起这个作用。AWS IAM 设计了主体、实体、用户, 角色, 用户组, 权限策略等概念和机制。以后有机会我们会深入说明。

...

  功能框架

AWS IAM是AWS提供的一项核心基础设施服务,为AWS中基于身份的访问控制提供基础。使用IAM服务不需要支付额外费用。借助AWS IAM服务, 使用者可以集中管理控制用户或者应用程序访问AWS 资源的精细权限。IAM控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。

  概念原理

IAM是AWS Identity and Access Management的缩写,可以精确地指定谁以及在哪些条件下可以访问哪些 AWS 服务和资源。 IAM 会对每个请求强制实施这些权限。默认情况下拒绝访问,仅当指定权限为“允许”时才授予访问权限。

工作原理图(一)

...
工作原理图(二)
...

  组件构成

IAM提供了控制AWS账户身份验证和授权所需的基础设施。 IAM基础设施如下图所示。 首先,人类用户或应用程序使用其登录凭证与AWS进行身份验证,然后请求授予主体对资源的访问权限,获得授权后,主体可以对AWS账户里的资源采取行动或执行操作。

...